Vulnerabilidad en plugin Breeze Cache de WordPress (CVE-2025-13864)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/02/2026
Última modificación:
19/02/2026
Descripción
El plugin Breeze - WordPress Cache Plugin para WordPress es vulnerable al borrado de caché no autorizado en todas las versiones hasta la 2.2.21, inclusive. Esto se debe a que el endpoint de la API REST '/wp-json/breeze/v1/clear-all-cache' está registrado con 'permission_callback => '__return_true'' y la autenticación está deshabilitada por defecto cuando la API está habilitada. Esto hace posible que atacantes no autenticados borren todas las cachés del sitio (caché de página, Varnish y Cloudflare) mediante una simple solicitud POST, siempre que el administrador haya habilitado la función de integración de la API.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/breeze/tags/2.2.21/inc/breeze-admin.php#L749
- https://plugins.trac.wordpress.org/browser/breeze/tags/2.2.21/inc/class-breeze-api.php#L19
- https://plugins.trac.wordpress.org/browser/breeze/tags/2.2.21/inc/class-breeze-api.php#L22
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3425199%40breeze&new=3425199%40breeze
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5a3c16a5-65e5-4fe9-b7f0-2e021534c054?source=cve